Microsoft oszukiwał cię przez dwa lata!

Okazało się, że naprawiona podczas wczorajszego dnia łat krytyczna luka w zabezpieczeniach w komponencie sieciowym Office (OWC) była znana producentowi software'u już od ponad dwóch lat. Jednak dopiero gdy zaczęto ją czynnie wykorzystywać, ludzie z Redmond wzięli się do roboty i w ciągu miesiąca przygotowali poprawkę.

Microsoft oszukiwał cię przez dwa lata!
Źródło zdjęć: © Microsoft
39

Już w marcu 200. roku grupa Zero Day Initiative (ZDI) opublikowała informacje o wykrytym przez Petera Verugdenhila problemie z zabezpieczeniami w programach Microsoftu. ZDI poinformowała producenta o tym, że specjalnie spreparowany parametr przy wywoływaniu msDataSourceObject() może doprowadzać do błędów w zarządzaniu pamięcią, które napastnik mógłby wykorzystać do przemycenia i wykonania szkodliwego kodu. Po tej informacji przez długi czas nic się nie działo – a w każdym razie nic, co by uchroniło użytkowników przed konsekwencjami problemów z zabezpieczeniami.

ZDI potwierdziła w opublikowanych wczoraj zaleceniach, że od wykrycia luki do jej naprawienia minęły dwa lata. "Oni [Microsoft –. przyp. red.] potrzebują coraz więcej czasu, aby mieć pewność, że problem został naprawdę rozwiązany" – stwierdził szef ZDI Pedram Amini w rozmowie z heise Security. A polityka działania ZDI polega właśnie na tym, że producentowi daje się tyle czasu na usunięcie usterki, ile jest mu potrzebne.

Na początku lipca zachowanie software'owego giganta zmieniło momentalnie, kiedy to ujawniono, że właśnie ta luka jest już aktywnie wykorzystywana w Internecie do podsuwania użytkownikom Windows szkodliwego kodu. Niespodziewanie Microsoft wydał własne zalecenia postępowania względem tej usterki i zapowiedział możliwie jak najszybsze podjęcie środków zaradczych. Wszystkie te działania osiągnęły kulminację w jednym patchu, który znalazł się w aktualizacji MS09-04. i we wtorek został wprowadzony do dystrybucji w ramach sierpniowego Patch Day.

Na pytania heise Security, dlaczego firma najpierw potrzebowała tak dużo czasu na przygotowanie patcha, a potem zareagowała w ekspresowym tempie, Microsoft odpowiedział w sposób dość zawoalowany: "każda luka jest inna", "zagwarantowanie jakości może trwać bardzo długo" i "niestety, czasem to trwa dłużej niż we wzorowych przypadkach". O tym, czy również klienci zaakceptują bez zastrzeżeń takie wyjaśnienia, dopiero się przekonamy.

wydanie internetowe www.heise-online.pl

39

Wybrane dla Ciebie

Startuje Paris Air Show 2025. "Pekin pokazuje muskuły"
Startuje Paris Air Show 2025. "Pekin pokazuje muskuły"
Mają 236 mln lat. Najstarsze skamieniałości motyli
Mają 236 mln lat. Najstarsze skamieniałości motyli
Iran chwali się zniszczeniem F-35. Zdjęcia świadczą o czymś innym
Iran chwali się zniszczeniem F-35. Zdjęcia świadczą o czymś innym
Pociski powietrze-powietrze dalekiego zasięgu. Pogromcy AWACS-ów i latających cystern
Pociski powietrze-powietrze dalekiego zasięgu. Pogromcy AWACS-ów i latających cystern
Nowa data startu Uznańskiego. Ważny komunikat od organizatorów
Nowa data startu Uznańskiego. Ważny komunikat od organizatorów
Izrael, Iran i pizza. Pentagon wiedział?
Izrael, Iran i pizza. Pentagon wiedział?
Polak leci w kosmos. Jest nowa data startu misji Ax-4
Polak leci w kosmos. Jest nowa data startu misji Ax-4
Izraelski Arrow w akcji. System pokazał, do czego został stworzony
Izraelski Arrow w akcji. System pokazał, do czego został stworzony
Ma grubość atomu. Naukowcy skonstruowali innowacyjny komputer
Ma grubość atomu. Naukowcy skonstruowali innowacyjny komputer
Nowe śmigłowce Apache. "To będzie stanowiło absolutny priorytet"
Nowe śmigłowce Apache. "To będzie stanowiło absolutny priorytet"
Izrael atakuje instalacje nuklearne. "Oceniona zostanie skala uszkodzeń"
Izrael atakuje instalacje nuklearne. "Oceniona zostanie skala uszkodzeń"
Amerykańska pomoc dla Izraela. Sojusznik na specjalnych warunkach
Amerykańska pomoc dla Izraela. Sojusznik na specjalnych warunkach